Datenexporte in die USA: EU Kommission verabschiedet neue Standardvertragsklauseln

04.06.2021

Verwendest Du auf Deiner Webseite Google Analytics oder bist Du auf Cloud-Dienste von Microsoft umgestiegen? Dann solltest Du wissen, dass sich amerikanische Behörden via Google und Microsoft Zugriff auf Deine Daten verschaffen können. Das ist datenschutzrechtlich höchst problematisch.

Seit fast einem Jahr ist der Einsatz solcher Dienste ein Risikounterfangen. Die Gründe dafür liegen im Urteil Schrems II des Europäischen Gerichtshofs (EuGH). Mit diesem Urteil hat der EuGH dafür gesorgt, dass eine Datenübermittlung an amerikanische Anbieter wie Google, Facebook, Microsoft etc. gestützt auf die sog. Privacy-Shield Zertifizierung nicht mehr rechtmässig ist.

Auch schweizerische Unternehmen, deren Tätigkeiten unter den Anwendungsbereich der DSGVO fallen, waren von dieser Rechtsunsicherheit betroffen.

Es gab zwar sog. Standardvertragsklauseln der EU Kommission, die für solche Datenübermittlungen verwendet werden konnten. Allerdings waren auch diese Standartverträge nicht mehr ausreichend, um den Datenschutz der betroffenen Personen zu gewährleisten.

Der EuGH machte in Schrems II nämlich klar, dass künftig jeweils eine Risikoabschätzung vorgenommen werden muss, bevor Daten in sog. unsichere Drittstaaten übermittelt werden dürfen. Idealerweise sollten noch zusätzliche Sicherheitsmassnahmen - wie die Ergänzung der Standardklauseln oder Verschlüsselungsmechanismen - ergriffen werden.

Dies hat viele europäische und schweizerische KMU verunsichert - denn mit Partnern wie Microsoft und Facebook lässt sich bekanntlich kaum über deren Verträge verhandeln.

Die Gesetzgebungsbehörden der EU haben sich nun 11 Monate Zeit gelassen, um die Rechtssicherheit wieder herzustellen. Heute, am 4. Juni 2021, hat die EU Kommission endlich die neuen Standardvertragsklauseln verabschiedet (vgl. Pressemitteilung). Dazu sagt Vera Jourová, Vizepräsidentin der EU Kommission im Bereich Values and Transparency:

"This is a needed solution in the interconnected digital world where transferring data takes a click or two."

Die Standardvertragsklauseln und die Empfehlungen zu weiteren Sicherheitsmassnahmen werden in den kommenden Tagen im Official Journal der EU publiziert.

Die Standardvertragsklauseln musst Du in den nächsten 18 Monaten mit Deinen US-Anbietern abschliessen. Hier besteht allerdings Grund zur Entwarnung: Du musst dies nicht mit Google, Facebook & Co aushandeln. Die neuen Klauseln werden Dir von den meisten grösseren Anbietern automatisch vorgelegt.

Übrigens: Auch das revidierte Datenschutzgesetz der Schweiz sieht vor, dass Du künftig Standardvertragsklauseln abschliessen musst, wenn Du keine anderen Garantien gewählt hast. Selbst wenn Du nicht unter den Anwendungsbereich der DSGVO fällst, sind diese Standardvertragsklauseln von grosser Relevanz für Dich.